PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA

PLANEACIÓN DE LA AUDITORIA

EN INFORMÁTICA

Objetivos

• Conocerá las distintas fases que comprende la auditoría en informática.

• Comprenderá la importancia en el trabajo de auditoría de la planeación, examen y la evaluación de la información, la comunicación de los resultados y el seguimiento.

FASES DE LA AUDITORÍA

La auditoría en informática es el

proceso de recolección y

evaluación de evidencias para

determinar cuándo son

salvaguardados los activos de

los sistemas computarizados,

de que manera se mantiene la

integridad de los datos y como

se logran los objetivos de la

organización eficazmente y se

usan los recursos consumidos

eficientemente.


La auditoría interna tiene el

objetivo de apoyar a los

miembros de la

organización en el

desempeño de sus

responsabilidades.


Los auditores internos son

responsables de

proporcionar información

acerca de la adecuación

y efectividad del sistema

de control interno de la

organización y de la

calidad de la gestión


El auditor interno debe ser independiente de las actividades que audita.

Las normas de auditoría interna comprenden:

• Las actividades auditadas y la objetividad de los auditores internos.


• El conocimiento técnico, la capacidad y el cuidado profesional de los auditores internos con los que deben ejercer su función.

• El alcance del trabajo de auditoría interna en el área de informática.

• El desarrollo de las responsabilidades asignadas a los auditores internos responsables de la auditoría a informática


Los auditores deben ser independiente y con un buen criterio para no tomar decisiones subjetivas.

La objetividad es una actitud de independencia mental que los auditores internos deben mantener al realizar las auditorias.


El departamento de

auditoría interna deberá

asignar a cada auditoría a

aquellas personas que en

su conjunto posean los

conocimientos, la

experiencia y la disciplina

necesarios para conducir

apropiadamente la

auditoría.


El departamento de

auditoría interna deberá

asegurarse:

• Que las auditorias sean

supervisadas en forma

apropiada. La supervisión

es un proceso continuo

que comienza con la

planeación y termina con

el trabajo de auditoría.


• Que los informes de auditoría

sean precisos, objetivos, claros,

concisos, constructivos y

oportunos.

• Que se cumplan los objetivos

de la auditoría.

• Que la auditoría sea

debidamente documentada y

que se conserve la evidencia

apropiada de la supervisión.


• Que los auditores cumplan

con las normas

profesionales de

conducta.

• Que los auditores en

informática posean los

conocimientos,

experiencias y disciplinas

esenciales para realizar sus

auditorias.


Cada auditor interno

requiere de ciertos

conocimientos y

experiencias:

• Se requiere pericia en la

aplicación de las normas,

procedimientos y técnicas

de auditoría interna para

el desarrollo de las

revisiones.


• Tener la habilidad para

aplicar conocimiento a

posibles situaciones que se

presenten, reconocer las

desviaciones significativas

y poder llevar a cabo las

investigaciones necesarias

para alcanzar soluciones

razonables.


Los auditores deberán evaluar si

el empleo de los recursos se

realiza de forma económica y

eficiente.

La administración es responsable

de establecer los estándares

de operación para medir la

eficiencia y economía en el uso

de los recursos.


Los auditores internos son

responsables de determinar si:

• Los estándares para medir la

economía y la eficiencia en el

uso de los recursos son los

adecuados.

• Los estándares de operación

establecidos han sido

entendidos y se cumplen.


• Las desviaciones a los

estándares de operación se

identifican, analizan y se

comunican a los responsables

para que se tomen las medidas

correctivas.

• Se toman las medidas

correctivas.


Las auditorias relacionadas

con el uso económico y

eficiente de los recursos

deberán i9dentificar

situaciones tales como:

• Subutilización de

instalaciones.

• Trabajo no productivos.


• Procedimientos que no

justifican su costo.

• Exceso o insuficiencia de

personal.

• Uso indebido de las

instalaciones.

PLANEACIÓN DE LA AUDITORÍA EN

INFORMÁTICA

El trabajo de auditoría

deberá incluir la

planeación de la

auditoría, el examen y la

evaluación de la

información, la

comunicación de los

resultados y el

seguimiento.


INFORMÁTICA

La planeación deberá ser documentada e incluirá:

• El establecimiento de los objetivos y el alcance del trabajo.

• La obtención de información de apoyo sobre las actividades que se auditarán.


INFORMÁTICA

• La determinación de los

recursos necesarios para

realizar la auditoría.

• La determinación de los

recursos necesarios para

realizar la auditoría.

• El establecimiento de la

comunicación necesaria con

todos los que estarán

involucrados en la auditoría.


INFORMÁTICA

• La realización, en la forma más

apropiada, de una inspección

física para familiarizarse con las

actividades y controles a

auditar, así como identificación

de las áreas en las que se

deberá hacer énfasis al realizar

la auditoría y promover

comentarios y la promoción de

los auditados.


INFORMÁTICA

• La preparación por escrito del programa de auditoría.

• La determinación de cómo, cuándo y a quién se le comunicarán los resultados de la auditoría.

• La obtención de la aprobación del plan de trabajo de la auditoría.


INFORMÁTICA

En el caso de la auditoría en

informática, la planeación es

fundamental, pues habrá que

hacerla desde el punto de vista

de varios objetivos:

• Evaluación administrativa del

área de procesos electrónicos.

• Evaluación de los sistemas y

procedimientos.


INFORMÁTICA

• Evaluación de los equipos

de cómputo.

• Evaluación del proceso de

datos, de los sistemas y de

los equipos de cómputo

(software, hardware,

redes, bases de datos,

comunicaciones).


INFORMÁTICA

• Seguridad y

confidencialidad de la

información.

• Aspectos legales de los

sistemas y de la

información.


INFORMÁTICA

El proceso de planeación comprende el establecer:

• Metas.

• Programas de trabajo de auditoría.

• Planes de contratación de personal y presupuesto financiero.

• Informes de actividades.

REVISIÓN PRELIMINAR

El primer paso en el

desarrollo de la auditoría,

después de la planeación,

es la revisión preliminar del

área de informática.


El objetivo de la revisión

preliminar es el de obtener

la información necesaria

para que el auditor pueda

tomar la decisión de cómo

proceder en la auditoría.


Al terminar la revisión preliminar el

auditor puede proceder en

uno de los tres caminos

siguientes:

1. Diseño de la auditoría. Puede

haber problemas debido a la

falta de competencia técnica

para realizar la auditoría.


2. Realizar una revisión detallada de los controles

internos de los sistemas con

la esperanza de que se

deposite la confianza en los controles de los sistemas y

de que una serie de

pruebas sustantivas puedan

reducir las consecuencias.


3. Decidir el no confiar en

los controles internos del

sistemas.


La RP significa la recolección de evidencias por medio

de: (1) entrevistas con el

personal de la instalación,

(2) la observación de las actividades en la

instalación y (3) la revisión

de la documentación

preliminar.


Las evidencias se pueden

recolectar por medio de:

• Cuestionarios iniciales

• Entrevistas

• Documentación narrativa


Debemos considerar que

ésta será solo una

información inicial que

nos permitirá elaborar el

plan de trabajo, la cual

se profundizará en el

desarrollo de la auditoría.

REVISIÓN DETALLADA

Los objetivos de la fase

detallada son los de

obtener la información

necesaria para que el

auditor tenga un

profundo entendimiento

de los controles usados

dentro del área de

informática.

REVISIÓN DETALLADA

En la fase de evaluación

detallada es importante

para el auditor identificar

las causas de las pérdidas

existentes dentro de la

instalación y los controles

para reducir las pérdidas

y los efectos causados

por éstas.

EXAMEN Y EVALUACIÓN DE LA

INFORMACIÓN

Los auditores deberán

obtener, analizar,

interpretar y documentar

la información para

apoyar los resultados de

la auditoría.


INFORMACIÓN

El proceso de examen y

evaluación de la información

es el siguiente:

• Se deben obtener la

información de todos los

asuntos relacionados con los

objetivos y alcances de la

auditoría.


INFORMACIÓN

• La información deberá

ser suficiente,

competente, relevante y

útil para que proporcione

bases sólidas en relación

con los hallazgos y

recomendaciones de la

auditoría.


INFORMACIÓN

• Los procedimientos de

auditoría, incluyendo el

empleo de las técnicas de

pruebas selectivas y el

muestreo estadístico, deberán

ser elegidos con anterioridad,

cuando esto sea posible, y

ampliarse o modificarse

cuando las circunstancias lo

requieran.


INFORMACIÓN

• El proceso de recabar,

analizar, interpretar y

documentar la información

deberá supervisarse para

proporcionar una seguridad

razonable de que la

objetividad del auditor se

mantuvo y que las metas de

auditoría se cumplieron.


INFORMACIÓN

• Los documentos de trabajo de la auditoría, deberán sewr preparados por los auditores y revisados por la gerencia de auditoría. Estos documentos deberán registrar la información obtenida y el análisis realizado, y deben apoyar las bases de los hallazgos de auditoría y las recomendaciones que se harán.


INFORMACIÓN

El auditor deberá discutir las conclusiones y recomendaciones en los niveles apropiados de la administración antes de emitir su informe final.

La opinión de los auditados respecto a este informe se los puede incluir como anexos.


INFORMACIÓN

El director de auditoría en informática deberá establecer un programa para seleccionar y desarrollar los recursos, el cual debe contemplar:

• Descripciones de los puestos de cada nivel de auditoría en informática.

• Selección de los individuos calificados y competentes.


INFORMACIÓN

• Entrenamiento y oportunidad

de capacitación profesional

continua para todos y cada

uno de los auditores.

• Evaluación del trabajo de

cada uno de los auditores por

lo menos una vez al año.

• Asesoría a los auditores en lo

referente a su trabajo y a su

desarrollo profesional.


INFORMACIÓN

La supervisión del trabajo de los auditores en informática deberá llevarse a cabo continuamente para asegurarse de que está trabajando de acuerdo con las normas, políticas y programas de auditoría en informática.

PRUEBAS DE CONSENTIMIENTO

El objetivo de la fase de prueba

de consentimiento es el de

determinar si los controles

internos operan como fueron

diseñados para operar. El

auditor debe determinar si los

controles declarados en

realidad existen y si realmente

trabajan confiablemente.

PRUEBAS DE CONTROLES DEL

USUARIO

En algunos casos el auditor

puede decidir el no confiar en

los controles internos dentro

de las instalaciones

informáticas, porque el

usuario ejerce controles que

compensan cualquier

debilidad dentro de los

controles internos de

informática.

PRUEBAS DE CONTROLES DEL

USUARIO

Estas pruebas que

compensan las

deficiencias de los

controles internos se

pueden realizar mediante

cuestionarios, entrevistas,

vistas y evaluación

hechas directamente con

los usuarios.

PRUEBAS SUSTANTIVAS

El objetivo de la fase de pruebas

sustantivas es obtener

evidencia suficiente que

permita al auditor emitir su

juicio en las conclusiones

acerca de cuándo pueden

ocurrir pérdidas materiales

durante el procesamiento de

la información.

PRUEBAS SUSTANTIVAS

Se pueden identificar ocho

diferentes pruebas sustantivas:

• Pruebas para identificar

errores en el procesamiento o

de falta de seguridad o

confidencialidad.

• Pruebas para asegurar la

calidad de los datos.

PRUEBAS SUSTANTIVAS

• Pruebas para identificar la

inconsistencia de los datos.

• Pruebas para comparar con

los datos o contadores físicos.

• Confirmación de datos con

fuentes externas

PRUEBAS SUSTANTIVAS

• Pruebas para confirmar la adecuada comunicación.

• Pruebas para determinar

falta de seguridad.

• Pruebas para determinar

problemas de legalidad.

PRUEBAS SUSTANTIVAS

El auditor debe participar en tres estados del sistema:

• Durante la fase del diseño del sistema.

• Durante la fase de operación.

• Durante la fase posterior a la auditoría.

PRUEBAS SUSTANTIVAS

El que el auditor participe en el

diseño del sistemas pueda

afectar a la independencia

del mismo, existen formas en

las cuales se puede eliminar

esto:

• Aumentando los

conocimientos en informática

del auditor.

PRUEBAS SUSTANTIVAS

• Asignar diferentes auditores a la fase de diseño, al trabajo de auditoría y al posterior a la auditoría.

• Crear una sección de auditoría en informática dentro del departamento de auditoría interna, especializado en auditoría en informática.

• Obtener mayor soporte de la alta gerencia.

PRUEBAS SUSTANTIVAS

Realizar una auditoría en

informática es un trabajo

complejo. Para ello, para

lograr los objetivos, el auditor

necesita dividir los sistemas en

una serie de subsistemas,

identificando los

componentes que realizan las

actividades básicas de cada

subsistema.

PRUEBAS SUSTANTIVAS

Evaluar la confianza de

cada componente, y la

de los subsistemas, y en

forma agregada evaluar

cada subsistema hasta

llegara a una evaluación

global sobre la confianza

total del sistema.

PRUEBAS SUSTANTIVAS

“La suma de los óptimos

parciales de los

subsistemas no es igual al

óptimo del sistema, pero

nos da una buena

aproximación.”

PRUEBAS SUSTANTIVAS

Investigación

detallada Prueba los

controles

críticos

Pruebas

sustantivas

Invesigación

Preliminar

Conclusión

EVALUACIÓN DE LOS SISTEMAS DE

ACUERDO AL RIESGO

Una de las formas de evaluar la

importancia que puede tener

para la organización de un

determinado sistema, es

considerar el riesgo que

implica el que no sea utilizado

adecuadamente, la pérdida

de la información o bien el

que sea usado por personal

ajeno a la organización


ACUERDO AL RIESGO

Algunos sistemas de aplicaciones

son de más alto riesgo que

otros debido a que:

• Son susceptibles a diferentes

tipos de pérdida económica.

Ejemplo: Fraudes y desfalcos

entre los cuales están los

sistemas financieros


ACUERDO AL RIESGO

Las fallas pueden impactar grandemente a la organización.

Ejemplo: Una falla en el procesamiento de la nómina puede tener como consecuencia una huelga.


ACUERDO AL RIESGO

• Interfieren con otros

sistemas, y los errores

generados inciden a otros

sistemas.


ACUERDO AL RIESGO

• Potencialmente, alto riesgo debido a daños en la competencia. Algunos sistemas le dan a la organización un nivel competitivo muy alto dentro del mercado.

Ejemplo: Sistemas de planeación estratégica. Patentes. Derechos de autor, los cuales son las mayores fuentes de recursos de la organización. Otros a través de los cuales su pérdida puede destruir la imagen de la organización.


ACUERDO AL RIESGO

• Sistemas de tecnología de punta o avanzada. Si los sistemas utilizan tecnología avanzada o de punta.

Ejemplo: Sistemas de base de datos, sistemas distribuidos o de comunicación, tecnología sobre la cual la organización tenga muy poca experiencia o respaldo, la cual es más probable que sea una fuente de problemas de control.


ACUERDO AL RIESGO

• Sistemas de alto costo.

Sistemas que son muy

costosos de desarrollar,

los cuales son

frecuentemente sistemas

complejos que pueden

presentar muchos

problemas de control.

PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA

Documents

Transcript of PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA